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(57) Zusammenfassung: Ein Verfahren zur Erkennung und/oder Korrektur von Speicherzugriffsfehlern in einem Rechnersystem, 
bei dem innerhalb eines Speichers (4) zusatzlich zu abzusichernden Daten (D) unter Verwendung dieser Daten (D) erzeugte Priifda- 
ten (?) abgelegt werden, soli derart weitergebildet werden, dass eine besonders hohe Zuverlassigkeit bei der Fehlererkennung und 
korrektur erreichbar ist. Dazu werden erfindungsgemaB bei der Erzeugung der Prufdaten (P) zusatzlich zu den abzusichernden Daten 
(D) auch deren Adressen beriicksichtigt. 
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Verfahren zur Erkennung und/oder Korrektur von Speicherzu- 
griffsfehlern und elektronische Schaltungsanordnung zur 
Durchfuhrung des Verfahrens 

Die Erfindung betrifft ein Verfahren zur Erkennung und/oder 
zur Korrektur von Speicherzugrif f sf ehlern in einem Rechner- 
system, bei dem innerhalb eines Speichers zusatzlich zu ab- 
zusichernden Daten unter Verwendung dieser Daten erzeugte 
Prufdaten abgelegt werden. Sie bezieht sich weiter auf eine 
elektronische Schaltungsanordnung, insbesondere zur Durch- 
fuhrung eines derartigen Verfahrens, mit einer mit einem Re- 
chenkern und mit einem Speicher verbundenen Fehlererken- 
nungseinrichtung . 

Unter dem Begriff "Rechnersystem" werden ganz allgemein ein- 
zelne oder auch vernetzte Computersysteme, wie beispiels- 
weise Mikrocontroller, verstanden, welche neben einer Zen- 
tralrecheneinheit (CPU) zusatzlich Speicher und Ein-/Ausga- 
befunktionen umfassen. Diese Systeme konnen als Systeme mit 
einem oder insbesondere mit mehreren Prozessorrechenkernen 
ausgefuhrt sein, wobei bei einem mehrkernigen System zwei 
oder mehrere als Rechenkerne bezeichnete Zentralrechenein- 
heiten vorgesehen sind. 

Verfahren der genannten Art konnen insbesondere zur Uberwa- 
chung und zur Fehlerkorrektur von Speichern in sicherheits- 
kritischen Applikationen zum Einsatz kommen, welche insbe- 
sondere in einem elektronischen Kraf tf ahrzeugsteuerelement 
eingesetzt sein konnen. Durch ein derartiges Konzept kann 
somit insbesondere die Speicherarchitektur fur einen Kraft- 
fahrzeugrechner beeinflusst sein. 

Elektronische Steuergerate fur Kraftf ahrzeugbremsen ttberneh- 
men im Zuge der technischen Entwicklung immer mehr Funktio- 
nen des Bremssystems . In fruheren Bremssystemen wurde in der 
Regel lediglich die Antiblockier ( "ABS" ) -Funktion elektro- 
nisch gesteuert und geregelt, wohingegen in moderneren soge- 
nannten "By-Wire"-Bremsanlagen die vollstandige Bremsfunk- 
tion von elektronischem Steuergerat kontrolliert werden 
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kann. Aufgrund der unmittelbaren Sicherheitsrelevanz derar- 
tiger Systeme besteht ein zunehmender Bedarf an elektroni- 
schen Kraf tf ahrzeugsteuergeraten mit besonders hoher Zuver- 
lassigkeit . 

Oblicherweise umfassen elektronische Kraf tf ahrzeugsteuerge- 
rate zur Bewaltigung der vergleichsweise komplexen Funktio- 
nen programmgesteuerte Mikroprozessorsysteme . Zur Verbesse- 
rung der Zuverlassigkeit derartiger Mikroprozessorsysteme 
kommen sogenannte Fehlererkennungssysteme Oder - 
einrichtungen zum Einsatz, die bei der Speicherung von Daten 
in einem Speicher unter Verwendung der abzusichernden Daten 
Prufdaten erzeugen und genieinsam mit den abzusichernden 
Daten abspeichern. Beim Wiederauslesen der Daten kann in 
einem nachf olgenden Schritt unter Zuhilfenahme der mit 
diesen abgelegten Prufdaten festgestellt werden, ob ein 
Auslesefehler vorgekommen ist. 

Die Zuverlassigkeit eines Kraf tf ahrzeugrechnersystems lasst 
sich nach der DE 101 09 449 auch dadurch verbessern, dass 
beim Lesen von Flash-Speichern durch den Mikroprozessor fur 
jedes Wort/Halbwort Paritatsbits im gleichen Speicherbau- 
stein oder in einem separaten Speicherbaustein abgelegt wer- 
den. Wahrend des Speicherzugrif f s werden ebenfalls Paritats- 
bits erzeugt und zum Zwecke der Fehleriiberprtif ung mit den 
gespeicherten Prufdaten verglichen. 

Bei bekannten Verfahren zur Erkennung und/oder Korrektur von 
Speicherzugriffsfehlern werden die Prufdaten iiblicherweise 
mittels Fehlerkorrekturcodes, wie beispielsweise einem 
Hamming Code oder einem Berger Code, erzeugt und auf dem je- 
weiligen Speicher hinterlegt, urn transiente Fehler zu korri- 
gieren, die garantierte Lebensdauer eines Produkts zu erho- 
hen oder durch das Maskieren von Fertigungsf ehlern die Aus- 
beute bei der Herstellung zu erhohen. 



Bei insbesondere als Flash-Memory ausgefuhrten Applikations- 
speichern konnen jedoch nur ganze Segmente gelOscht und pro- 
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grammiert werden. Ein vergleichsweise klein segmentierter 
Flash-Speicher ben6tigt eine erheblich groliere Flache im 
Vergleich zu einem Flash-Speicher mit grofieren Segmenten. 
Herstellungsbedingt ist die Grdfie der Segmente daher nach 
unten hin begrenzt. Da einzelne Programm- und Datenteile un- 
abhangig voneinander programmiert und gelSscht werden mQssen 
(sowohl die Daten als auch die zugehorige Pari tat) und die 
kleinste Segmentgrolie der Paritat beschrankt ist, ergeben 
sich bei derartigen Systemarchitekturen vergleichsweise 
grofie Bereiche ungenutzten Speichers. 

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der 
oben genannten Art derart weiter zubilden, dass eine beson- 
ders hohe Zuverlassigkeit bei der Fehlererkennung und - 
korrektur erreichbar ist. Des Weiteren soil eine zur 
Durchfuhrung des Verfahrens besonders geeignete 
elektronische Schaltungsanordnung angegeben werden. 

Beziiglich des Verfahrens wird diese Aufgabe erf indungsgemafl 
dadurch gelost, dass bei der Erzeugung der Priif daten zusatz- 
lich zu den abzusichernden Daten auch deren Adressen bertick- 
sichtigt werden. 

Die Erfindung geht dabei von der Oberlegung aus, dass bei 
bisherigen Konzepten zur Fehlererkennung und -korrektur die 
entsprechenden Routinen oder Einrichtungen in den Spei- 
cherwrapper integriert sind und dabei eine unmittelbare Kon- 
trolle lediglich des Datenfeldes zulassen. Obertragungsf eh- 
ler beim Auslesen der Daten, die beispielsweise in Folge von 
Adressierungsfehlern oder dergleichen entstehen kSnnten, 
bleiben dabei unberucksichtigt . Urn die Zuverlassigkeit bei 
der Fehlererkennung und ggf . -korrektur zu erhohen, sollte 
daher auch die Adressierung in die OberprQfung mit einbezo- 
gen werden. Urn dies auf besonders einfache Weise zu gewahr- 
leisten, werden die PrUfdaten unter Berttcksichtigung der ab- 
zusichernden Daten einerseits und unter BerUcksichtigung von 
deren Adressen andererseits erzeugt. 
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Eine besonders hohe Zuverlassigkeit bei der Fehlererkennung 
und ggf . -korrektur ist dabei erreichbar, indem vorteilhaf- 
terweise abzusichernde Daten gemeinsam rait den ihnen zuge- 
ordneten Prufdaten an einen Datenempf anger uberraittelt wer- 
den, wobei eine Auswertung der Prufdaten zur Fehlererkennung 
erst nach der Datenubermittlung vorgenommen wird. Die Feh- 
lererkennung und -korrektur wird dabei zum Empfanger der Da- 
ten hin verschoben, sodass eine Oberwachung und Fehlerkor- 
rektur sowohl des Datenfeldes als auch der Speicherwrapper 
mit Adressdecodierung und der Daten-/Adressleitungen gewahr- 
leistet ist . 



In weiterer oder alternativer vorteilhaf ter Weiterbildung 
wird eine Auswertung der Prufdaten zur Fehlererkennung in- 
einer Fehlererkennungseinrichtung vorgenommen, die von einer 
Oberprufungseinheit uberpriift wird. Somit wird die Erkennung 
und/oder Korrektur eventueller Fehler ihrerseits durch eine 
eigene Oberprufungseinheit uberwacht. In weiterer vorteil- 
hafter Ausgestaltung erzeugt die Oberprufungseinheit dabei 
Vergleichsprufdaten aus Daten und Adressen, die mit Priifda- 
ten der Fehlererkennungseinrichtung und/oder mit Prufdaten 
eines mit der Fehlererkennungseinrichtung verbundenen Spei- 
chers verglichen werden. Dabei werden aus den korrigierten 
Daten und den Adressen der zweiten CPU Checkbits berechnet 
und mit den eventuell korrigierten Checkbits vom Speicher 
verglichen. Ein derartiges Verfahren ist somit insbesondere 
fur die Anwendung in einer mit zwei oder mehr Prozessrechen- 
kernen geeignet. 

Zur weiteren Erhohung der Zuverlassigkeit und betrieblichen 
Sicherheit werden vorteilhaf terweise zur Obertragung von Da- 
ten, Prufdaten und Adressen zwischen der Fehlererkennungs- 
einrichtung und einem Applikationsspeicher getrennte Buslei- 
tungen genutzt. 

Bezuglich der elektronischen Schaltungsanordnung zur Durch- 
fuhrung des Verfahrens mit einer mit einem Rechenkern und 
mit einem Speicher verbundenen Fehlererkennungseinrichtung 
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wird die genannte Aufgabe dadurch gelost, dass die Fehlerer- 
kennungseinrichtung einen Pruf datengenerator umfasst, der 
fiir im Speicher abzulegende Daten anhand dieser Daten und 
anhand ihrer Adressen Priif daten erzeugt. 

Fur eine besonders hohe Zuverlassigkeit und betriebliche Si- 
cherheit ist die Fehlererkennungseinrichtung vorteilhaf ter- 
weise aus dem Speichercore heraus zu einem Empfanger der Da- 
ten hin verschoben. Dabei ist die Fehlererkennungseinrich- 
tung vorteilhafterweise uber eine Anzahl von Busleitungen 
mit dem Speicher verbunden, wobei in weiterer vorteilhaf ter 
Ausgestaltung eine Trennung der Busleitungen derart vorgese- 
hen ist, dass fur Daten, PrUfdaten und Adressen jeweils se- 
parate Busleitungen vorgesehen sind. 

In weiterer vorteilhaf ter Ausgestaltung ist der Fehlererken- 
nungseinrichtung eine Oberpruf ungseinheit zugeordnet. 

Die mit der Erfindung erzielten Vorteile bestehen insbeson- 
dere darin, dass durch die Einbeziehung der Adressen in die 
Generierung der Prufdaten und insbesondere auch durch die 
Verlagerung der Fehlererkennung und -korrektur aus dem Spei- 
chercore heraus in den Bereich eines Empfangers fur die Da- 
ten eine besonders hohe Zuverlassigkeit und betriebliche Si- 
cherheit bei der Fehlererkennung und -korrektur erreichbar 
ist. Zusatzlich zu den eigentlichen Daten werden namlich bei 
der Fehlererkennung die Adressen und insbesondere auch die 
Adressdecodierlogik mituberpriif t . Weiterhin ist die Oberpru- 
fung und eine mogliche Fehlerkorrektur der Daten- und 
Adressleitungen gewahrleistet . Die somit erreichbare Erwei- 
terung der Fehlererkennung auf die Obertragungswege kann be- 
sonders bei externen Komponenten mit vergleichsweise storan- 
falligen langen Verbindungswegen zum Rechenkern bedeutsam 
sein . 

Die Fehlererkennung beim Adressdecoder ist dabei besonders 
vorteilhaft, wenn auslegungsbedingt nur ein einziger Adress- 
decoder verwendet werden soil. Durch die weiterhin vorgese- 
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hene Uberpruf ungseinheit fur die Fehlererkennung an sich ist 
somit auch fur diese eine Fehlererkennung bereitstellbar . 

Ein Ausfuhrungsbeispiel der Erfindung wird anhand einer 
Zeichnung naher erlautert. Darin zeigen: 

Fig. 1 schematisch eine elektronische Schaltungsanord- 
nung, und 

Fig. 2 schematisch eine alternative AusfUhrungsf orm einer 
elektronischen Schaltungsanordnung . 

Gleiche Teile sind in beiden Figuren mit denselben Bezugs- 
zeichen versehen. 



Die elektronische Schaltungsanordnung 1 gemali Figur 1 ist 
insbesondere zum Einsatz im elektronischen Steuersystem fur 
Kraft fahrzeugbremsen vorgesehen. Um dabei aufgrund der hohen 
Sicherheitsrelevanz im Hinblick auf mogliche Eingriffe in 
aktuelle Fahrsituationen eine besonders hohe Zuverlassigkeit 
und betriebliche Sicherheit zu gewahrleisten, ist die elek- 
tronische Schaltungsanordnung 1 fur eine Fehlererkennung und 
ggf. - korrektur bei der Bearbeitung von Daten ausgelegt. Zu 
diesem Zweck umfasst die elektronische Schaltungsanordnung 1 
eine datenseitig zwischen einen auch als Zentralrechenein- 
heit oder CPU bezeichneten Rechenkern 2 und einen diesem zu- 
geordneten Speicher 4 geschaltete Fehlererkennungseinrich- 
tung 6. Die Fehlererkennungseinrichtung 6 dient dabei insbe- 
sondere dem Zweck, bei der Weiterleitung von Daten D aus dem 
Speicher 4 in den Rechenkern 2 eine hohe Zuverlassigkeit der 
ausgelesenen Daten D sicherzustellen und ggf. vorgefundene 
Fehler zuverlassig zu erkennen und ggf. zu korrigieren. 

Der Speicher 4, in dem die Daten D hinterlegt sind, umfasst 
zusatzlich zu einem zur Adressdecodierung und Speicherver- 
waltung vorgesehenen Speicherwrapper 8 einen Speicherbereich 
10 fur die Daten D sowie einen weiteren Speicherbereich 12 
fur den Daten D zugeordnete Prtif daten P. 
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Die. Fehlererkennungseinrichtung 6 umfasst einen Prtifdatenge- 
nerator 14, eine Buslogikeinrichtung 16 sowie einen Korrek- 
turblock 18. Die Fehlererkennungseinrichtung 6 ist iiber eine 
Anzahl von Busleitungen 20, 22, 24 mit dem Speicher 4 ver- 
bunden, wobei die Busleitung 20 in der Art einer Adresslei- 
tung zur Obermittlung von Adressdaten an den Speicherwrapper 
8, die Busleitung 22 in der Art einer Datenleitung zur Ober- 
mittlung von Daten D an das Speichersegment 10 und die Bus- 
leitung 24 in der Art einer Codeleitung zur Obermittlung von 
Priif daten P an das Speichersegment 12 vorgesehen ist. 

Zur Sicherstellung einer besonders hohen Zuverlassigkeit bei 
der Fehlererkennung und ggf. -korrektur ist die Fehlererken- 
nungseinrichtung 6 dafur ausgelegt, die fur die abzusichern- 
den Daten D vorgesehenen Prufdaten P einerseits unter Be- 
riicksichtigung der Daten D, andererseits aber auch unter Be- 
riicksichtigung von deren Adressen zu generieren. Dazu ist 
der Priifdatengenerator 14 eingangsseitig sowohl iiber eine 
Datenleitung 26 als auch iiber eine mit der als Adressleitung 
vorgesehenen ersten Busleitung 20 verbundene Zweigleitung 28 
mit dem Rechenkern 2 verbunden. Die somit unter Berucksich- 
tigung von Daten D und der Adressen erzeugten Prufdaten P 
konnen anschliefiend vom Priif datengenerator 14 an die Buslo- 
gikeinrichtung 16 ubergeben werden, von der aus sie iiber die 
Busleitung 24 zur Abspeicherung an den Speicher 4 weiterge- 
geben werden. 



Dartiber hinaus ist die Schaltungsanordnung 1 daftir ausge- 
legt, die Auswertung der Prufdaten P zur Fehlererkennung 
erst nach der Datenubermittlung an einen Empfanger fur die 
Daten D vorzunehmen. Dazu ist die Fehlererkennungseinrich- 
tung 6 unter Vermeidung einer Integration in den Speicher 4 
als separate, iiber die Busleitungen 20, 22, 24 mit dem Spei- 
cher 4 verbundene Komponente ausgeftihrt. Bei der Auswertung 
der aus dem Speicher 4 ausgelesenen Daten D und der diesen 
zugeordneten Prufdaten P im Korrekturblock 18, bei der zudem 
auch die Adressen berticksichtigt werden, erfolgt somit die 
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Fehlererkennung nicht nur ftir die eigentlichen Daten D, son- 
dern auch fur die zur Datenubertragung benotigten Ubermitt- 
lungsleitungen und Adressen. 

Die elektronische Schaltungsanordnung 1 im Ausfuhrungsbei- 
spiel gemaii Figur 1 ist als Recheneinheit mit lediglich ei- 
nem Prozessrechenkern ausgefiihrt. Im Ausf iihrungsbeispiel ge- 
mafi Figur 2 ist hingegen eine Ausf iihrungsf orm mit zwei Pro- 
zessrechenkernen gezeigt, bei der zusatzlich zum ersten Re- 
chenkern 2 noch ein weiterer, als CPU ausgefiihrter Rechen- 
kern 30 vorgesehen ist. In diesem Ausf iihrungsbeispiel ist 
der Fehlererkennungseinrichtung 6 zudem eine Oberpruf ungs- 
einheit 32 zugeordnet, die ihrerseits als Fehlererkennungs- 
einrichtung ausgestaltet ist. Die Fehlererkennungseinrich- 
tung 6 liefert dabei uber eine Datenleitung 34 Lesedaten L 
an den ersten Rechenkern 2 und auch an den zweiten Rechen- 
kern 30. Die Lesedaten L sind dabei von der Fehlererken- 
nungseinrichtung 6 bereits korrigierte Daten. Die Lesedaten 
L werden weiterhin einem Checkbit-Generator 36 in der Ober- 
pruf ungseinheit 32 zugefuhrt, der anhand der Lesedaten L und 
von dem zweiten Rechenkern 32 ubermittelten Adressen A Prtif- 
daten oder Checkbits P erzeugt. Diese werden in einer Ver- 
gleicher-einheit 38 mit von der Fehlererkennungseinrichtung 
6 ubermittelten korrigierten Checkbits oder PrUfdaten P ver- 
glichen, sodass eine Kontrolle der ordnungsgemalien Funkti- 
onsfahigkeit der Fehlererkennungseinrichtung 6 vorgenommen 
werden kann . Das Vergleichermodul 38 liefert als Ausgangs- 
signal uber seinen Ausgangskanal 40 ggf. eine Fehlermeldung . 
Das gleiche gilt auch far die uberpriif ungseinheit 6, uber 
den Ausgangskanal 41. 
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Patentanspriiche 

1. Verfahren zur Erkennung und/oder Korrektur von Speicher- 
zugriffsfehlern in einem Rechnersystem, bei dem inner- 
halb eines Speichers (4) zusatzlich zu abzusichernden 
Daten (D) unter Verwendung dieser Daten (D) erzeugte 
Prufdaten (P) abgelegt werden, dadurch gekennzeichnet, 
dass bei der Erzeugung der Prufdaten (P) zusatzlich zu 
den abzusichernden Daten (D) auch deren Adressen beruck- 
sichtigt werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 
abzusichernde Daten (D) gemeinsam mit den ihnen zugeord- 
neten Priif daten (P) an einen Datenempf anger ubermittelt 
werden, wobei eine Auswertung der Prufdaten (P) zur Feh- 
lererkennung erst nach der Dateniibermittlung vorgenommen 
wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, dass eine Auswertung der Prufdaten (P) zur Feh- 
lererkennung in einer Fehlererkennungseinrichtung (6) 
vorgenommen wird, die von einer OberprUf ungseinheit (32) 
uberpruft wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass 
zur Oberpriifung der Fehlererkennungseinrichtung (6) an- 
hand der von dieser gelieferten Daten (D) und anhand von 
deren Adressen weitere Prufdaten (P) erzeugt werden. 

5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeich- 
net, dass die Oberpriifungseinheit (32) Vergleichsprufda- 
ten aus Daten und Adressen erzeugt, die mit Prufdaten 

(P) der Fehlererkennungseinrichtung (6) und/oder mit 
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Priifdaten eines mit der Fehlererkennungseinrichtung (6) 
verbundenen Speichers (4) verglichen werden. 

6. Verfahren nach einem der Anspruche 3 bis 5, dadurch ge- 
kennzeichnet, dass zur Obertragung von Daten (D) , Priif- 
daten (P) und Adressen (A) zwischen der Fehlererken- 
nungseinrichtung (6) und einem Applikationsspeicher ge- 
trennte Busleitungen (20, 22, 24) genutzt werden. 

7. Elektronische Schaltungsanordnung (1, 1 1 ) , insbesondere 
zur Durchfuhrung des Verfahrens nach einem der Anspruche 
1 bis 6, mit einer mit einem Rechenkern (2) und mit ei- 
nem Speicher (4) verbundenen Fehlererkennungseinrichtung 
(6), dadurch gekennzeichnet, dass die Fehlererkennungs- 
einrichtung (6) einen Prufdatengenerator (14) umfasst, 
der fur im Speicher (4) abzulegende Daten (D) anhand 
dieser Daten (D) und anhand ihrer Adressen Priifdaten (P) 
erzeugt . 

8. Elektronische Schaltungsanordnung (1, 1') nach Anspruch 

7, dadurch gekennzeichnet, dass die Fehlererkennungsein- 
richtung (6) uber eine Anzahl von Busleitungen (20, 22, 
24) mit dem Speicher (4) verbunden ist. 

9. Elektronische Schaltungsanordnung (1, 1') nach Anspruch 

8, dadurch gekennzeichnet, dass far Daten (D) , Priifdaten 
(P) und Adressen (A) jeweils separate Busleitungen (20, 
22, 24) vorgesehen sind. 

10. Elektronische Schaltungsanordnung (1, 1') nach einem der 
Anspruche 7 bis 9, dadurch gekennzeichnet, dass der Feh- 
lererkennungseinrichtung (6) eine Oberpriif ungseinheit 
(32) zugeordnet ist. 
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